• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Solution/Big_Network/Wired_and_wireless_integrated/Catalog/White_Paper/201207/800537_30004_0.htm

构建安全的医院无线终端准入控制系统

【发布时间:2012-07-09】
  • 出于对医院业务安全性和可靠性考虑,所有医院都希望自己的业务网是一张封闭的网络,内部只有医生和护士等医院内部人员使用,外部人员和单位不能直接进入到医院系统中。但是,出于管理和制度上的各种原因,如今医院的网络必须是一个开放的系统,连接对象包括各级医保结算系统和区域卫生平台系统。尤其是最近几年,基于WLAN的无线医疗系统的部署,医院现在面临着内部和外部的各种各样无线终端的接入问题。

面对一个开放的网络系统,尤其是一个开放的无线网络系统,提高医院网络的安全性是一个重大课题,它需要结合技术和管理等多种手段。目前,医院无线医疗系统的安全威胁主要来自以下几点。

  • 未经授权使用网络服务。由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,通过盗用合法用户名、口令等信息进入医院网络,盗取病人信息,影响医院正常工作。
  •  地址欺骗和会话拦截(中间人攻击)。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
  •  高级入侵。一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。

 无线网络安全技术

无线局域网的安全防护主要由数据保密和访问控制两部分组成,包括物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i和终端准入控制等。

  •  物理地址(MAC)过滤

每个无线客户端网卡都有唯一的48位物理地址(MAC)标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但该方法的效率会随着终端数目的增加而降低,且非法用户通过网络侦听就可获得合法的MAC地址表,并通过修改MAC地址的方式盗用合法用户的MAC地址来非法接入。

无线客户端必须设置与无线访问点AP相同的SSID才能访问AP。如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,同时可通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的。因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定程度的安全。

  •  对称链路加密(WEP,Wired Equivalent Protection)

链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了一定长度的密钥机制,但是它仍然存在许多缺陷:如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或泄露密钥将使整个网络不安全;以及WEP加密可以在几个小时内被破解。

 WPA(WiFi Protected Access)

作为802.11i标准的子集,WPA包含认证、加密和数据完整性校验三个组成部分,是在继承WEP基本原理的同时又解决了其缺点的一种新技术。由于WPA加强了生成加密密钥的算法,因此即便非法用户收集到分组信息并对其进行解析,也无法计算出通用密钥。其原理为根据通用密钥,配合终端MAC地址和分组信息顺序号的编号,分别对每个分组信息生成不同的密钥,然后与WEP一样将此密钥用于RC4加密处理。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前备受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。

以上技术在解决了部分安全问题的同时,仍存在以下问题。

  •  端点安全控制问题。WLAN协议本身无法对接入的客户端进行安全检查,如果客户端已经中毒,或者是有恶意软件,甚至已经被黑客所控制,则会对医院的内网安全环境提出巨大挑战。
  •  用户的身份和授权问题。由于WLAN接入的便利性,若不对 WLAN连接进行身份校验和授权会造成将关键数据暴露在外而损害医院的信息资产。因此需要通过识别用户身份而进行相应授权,从而控制用户合法的访问。在此过程中对不同的人员授予不同的权限至关重要,如对于非医院的员工如访客或临时工作人员需要严格限制其访问资源的权限。
  • 用户访问审计问题。现在越来越多的医院或相关行业要求网络接入系统保留一定期限的访问日志,甚至通过颁布一些法案来硬性约束,这就对安全设备和方案提出了审计的要求。同时,详细的访问记录或分析也是对医院安全管理的有效保障,如在发生一些意外情况下的时候安全分析,就需要相当详尽的访问记录。

可见,WLAN本身加密和验证标准容易受到攻击,需要部署更牢固的加密和验证方法,利用无线安全准入控制解决方案更加全面的保护WLAN的安全,通过对医院内无线终端的准入管理,对医院的无线网络访问行为进行有效地控制,规范医院用户的网络行为,使非法用户无法通过无线系统进入医院网络。

 无线终端准入控制解决方案

针对医院内部的无线网络的终端接入,最有效的方法是部署EAD(End user Admission Domination,终端准入控制)解决方案。

  • 终端准入控制

EAD解决方案在医院无线医疗系统中终端上安装安全准入客户端,根据医院内部网络接入控制点的位置,灵活采用802.1X、Web Portal、IPSec/SSL L2TP VPN等方式接入网络。在这种认证环境下,身份认证的手段也非常多样,除了传统的用户名/密码认证外,对于需要特殊管控的账号,可以要求采用智能卡、数字证书等方式进行身份认证。同时可以要求终端在认证时提供“绑定信息”作为身份标识的附属标识(如IP、MAC地址、接入设备的IP和端口、无线SSID标识符、主机的域用户名及计算机硬盘序列号等),从而根本上起到防篡改的目的。

Windows是目前存在最多安全隐患的操作系统,因此对其网络接入后的安全检查需要是最严格的,一般需要检查的项目有:

ž 防病毒软件的安装及版本升级;

ž 系统漏洞的修复;

ž 注册表监控;

ž 黑白软件的安装、运行;

ž 操作系统弱密码;

 如果某终端不符合医院既定的安全策略,终端准入控制系统将通过隔离、下线等手段阻止该终端接入医院内部网络,从而避免该终端对医院网络带来潜在的安全威胁。内网终端访问互联网限制

除无线终端接入医院内部网络引起的安全威胁安全管控之外,医院内部网络同样存在安全隐患。如缺乏安全意识的员工在不断开与内部网络连接的情况下,使用3G网卡等方式将终端接入互联网进行私人操作,导致医院的内部网络物理隔离环境被破坏。这种“内网外联”的行为将使内部网络面临非授权访问、数据窃听、暴力破解、病毒、木马等多种安全威胁,导致网络结构、服务器部署、安全防护措施等信息被泄露。EAD系统提供防内网外联的管控,使用户在内网环境通过802.1X认证或Portal认证后,才将内网通讯网口完全放开,而始终将其他网络接口(包括但不限于以太网卡、Modem、ADSL、3G等)处于阻断状态。这样就从源头上限制了终端,使其只能访问内网,对于信息安全管理和防病毒木马有重要的意义。

无线接入终端经过身份认证、安全检查接入网络后,终端准入控制系统可根据其身份下发已配置的VLAN、ACL到接入设备的端口上,对接入终端进行访问权限控制。对于某些网络精细化的管理要求,还可配置主机防火墙规则下发到终端安装的iNode客户端上,对接入终端的访问行为进行严格管控。

外网服务的管理

外网服务主要指医院为患者提供的互联网服务。对于这一类外部访问者而言,不便于也不可能通过医院内部统一的终端准入控制进行管理。针对这种应用场景,EAD解决方案提供了外网服务接入控制手段,并将此流程全面整合于整个EAD系统之中。

EAD服务器可以依据需要,通过可溶解客户端(Java客户端)支持,对访客的终端进行必要的安全检查和监控,而这种检查和监控可以作为可选项,并不强制要求。更为灵活的是,外网服务系统可以依据使用的实际要求,给外网服务设置有效的上网时间段。当超出时间段,外网服务的上网权限自动作废。

与上述流程类似,当病人亲友在照顾病患过程中,甚至是病患本身,需要通过医院提供的无线网络进行网络连接时,同样可以通过外网服务系统为相应人员开设外网服务访问权限。

结束语

“病从口入”是传统医学的一个基本理念,而EAD终端准入控制系统始终牢牢以终端为核心,围绕医疗行业形形色色的终端展开管理,彻底改变了原有网络安全管理与用户管理、终端管理相脱节的局面,通过建立终端、用户与网络之间接入控制系统,构建起网络安全防御环,从而彻底地改变了医疗网络架构,成为医院内部信息安全最关键的一环,也使医疗网络的安全上了一个新的台阶。

联系我们